Microsoft бьёт тревогу: опасная уязвимость в Exchange
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Microsoft обратилась к своим клиентам с предостережением: обнаружена опасная уязвимость в гибридных установках Exchange – системах, где локальный Exchange-сервер работает вместе с облачным Exchange Online в составе Microsoft 365. Проблема обозначена как баг «неправильной аутентификации», получила индекс CVE-2025-53786 и высокий балл опасности – 8 из 10.
В чём угроза? Если злоумышленник получает права администратора на локальном сервере Exchange, он может воспользоваться уязвимостью для повышения привилегий и проникновения в подключённый облачный Exchange Online. Всё это происходит из-за некорректных доверительных настроек между сервисами. Отдельный "бонус" для хакеров – действия с локального Exchange плохо фиксируются в облачных логах Microsoft 365, так что атаки могут остаться незамеченными стандартными средствами аудита.
Ситуация касается серверов Exchange Server 2016, 2019 и подписочного варианта Subscription Edition. Пока признаков массовых атак не обнаружено, но Microsoft настоятельно советует установить апрельские патчи 2025 года, перейти на специальное приложение Exchange Hybrid и обязательно сменить учетные данные для общего сервисного аккаунта. Параллельно с этим CISA (американское агентство по кибербезопасности) также выпустило предупреждение и рекомендовало IT-специалистам использовать Service Principal Clean-Up Mode от Microsoft и провести полный аудит здоровья Exchange через специальную утилиту.
Если пренебречь рекомендациями, CISA прогнозирует полный захват домена как в облаке, так и на локальных серверах. Так что для админов сейчас лучшая стратегия – срочно обновлять защиту.
PEREC.RU
Microsoft снова обнаружила дыру в Exchange, и теперь вся их аудит бизнес-модели полыхает как мелкий офисный принтер на корпоративной вечеринке. Раньше думали: гибрид Exchange — это мост между прошлым и облачным будущим. Теперь — прямая дорога для киберпреступника, если тот нагуглил гайд по получению админ-прав. Уязвимость высокая, ощутимая (8/10!), но удивление только у тех, кто ещё верит в магию патчей.
Отдельно отмечу: хакеру даже логи не нужны — стандартный аудит Microsoft 365 разводит руками, мол, не наша зона ответственности. Ключевая фишка: администраторам строжайше велено патчить Exchange, менять пароли, прыгать в новый гибридный App. Американское киберведомство CISA подбадривает: не поторопитесь — останетесь без домена, и в облаке, и на серверной подлокотнике.
Так и живём: битва между патчами и дырками идёт, а корпоративные IT только и успевают обновлять сервисные учётки и глотать кофеин. Следующая серия — уже на следующей неделе, готовьте ведро попкорна. Сквозь юмор видно, где корпоративная безопасность, а где только иллюзия защиты — реальность снова троллит ожидания бизнес-админов и их бюджетов.
